type
status
date
slug
summary
tags
category
icon
password
Text
Files & media
原文地址:点击这里
系统的选择
服务器端发行版选择很多,Debian,Ubuntu,Rocky Linux,AlmaLinux,Fedora 等等,甚至 CentOS,OpenSUSE Leap 都行,选自己熟悉的就好。
关于各个发行版的特点和取舍,这里先占个坑,后面来填吧。
反正有条件的直接上 Red Hat Enterprise Linux(RHEL)就好,免费的哪有这个好啊。
Ubuntu 因为资料好找,使用起来方便,稳定性也不错,所以怪文一直用 Ubuntu。但自从 Canonical 往 Ubuntu 22.04.3 LTS 里面塞广告,有些广告还无法被移除,吃相有点难看,这种行径和国内厂商有得一拼了。
目前还在寻找平替,因为系统还没换,下面的 shell 命令,基本都是基于 Ubuntu 的版本。如果你装的是 Fedora 和 RHEL 系的发行版,比如 CentOS 之类的,请将下面命令中的 apt 用 yum 替换。
2. 更新列表升级应用
3. 基础工具包
· · ·
一、脚本测试
先别急着装什么面板,测完性能再说,直接上脚本。
1. yabs 脚本
yabs 是一个比较常用的综合测试脚本,权威性比较高,一般用来看最后的 cpu 得分。
2. bench.sh 一键测试脚本
bench.sh 也是一个综合测试脚本,历史比较久,大佬一直在维护。原作者链接:https://github.com/teddysun/across/blob/master/bench.sh
3. 线路测试
besttrace 是专门测试回国线路的脚本,可以看到连接国内几大城市的节点线路和对应延迟。
4. 网速测试
network-speed,测试 vps 到全球的连接速度,节点比较多,
比较耗流量,成功测完得 20G 往上。5. 硬盘测试
这条测试是调用系统的命令,看看到底是 HDD、SSD 还是 NVME 硬盘。
测试结果参考:1-2M/s 的是 HDD;20-30M/s 就普通的 SSD;80M/s 以上的是好机子。
6. 内存超售检测
部分商家会超售内存,可以用该脚本检测。至于超售 CPU、带宽,这个就比较稀松平常了。(脚本的安全性未知,建议看完重装系统部分,再决定要不要跑。)
7. 流媒体解锁和 OpenAI 解锁测试
检测 VPS 的 IP 是否能够用来开通流媒体、OpenAI 等订阅服务。(同上,安全性未知。)
如果你对 IP 这个比较看重,再推荐两个小工具,简单调查一下手上的 IP。
1) IP 位置
https://whatismyipaddress.com/ip
whatismyipaddress 这个网站可以查到你 VPS 的 IP 所在地,数据比较精准。
2) IP 纯净度
https://scamalytics.com/ip 这个网站会返回一个分数和一个风险等级,欺诈风险分数一般低于 50 就好。当然,分数越低越好,0 分最好。
scamalytics 可以让你查到 IP 的纯净程度,这点很重要!
IP 越干净,越容易过流媒体等服务的订阅风控,也不容易弹 Google 和 Cloudflare 的人机验证弹窗和过渡页,代理的时候体验会更好。
比如,注册 OpenAI 账号,开通 Plus 订阅,都是很看重 IP 欺诈分的,分数太高的话,申请 API 和 Plus 可能不给通过。
当然,你可以选择其他方式进行代偿,比如套 wrap,或者用其他优质节点开通服务,后面换回本 IP 继续用,基本没啥问题。除非,你本 IP 被拉黑了。
· · ·
三、安全配置
小白最容易忽略的就是安全配置,弱密码什么的就不说了,说一下核心的配置。
1. 添加新用户
不建议每次都用 root 账号登录,创建新用户并给 root 权限比较好。
首先,添加新用户,并自动创建对应的组,然后根据提示设置密码:
设置新密码之后,继续。除了用户名,其他敲回车默认即可。
添加新用户到 sudo 用户组,就可以使用 sudo 命令了:
2. 修改 SSH 登录端口
更改端口前,建议把 22 端口也添加上,等 ssh 能通过其他端口连接后,再注释掉22端口。
先打开配置文件:
找到这行:
Port 22
然后在后面追加你想要的端口号:
Port 端口号
端口号的范围是 0 到 65535,数字别超了。
加完端口重启 SSHD 服务,让配置生效:
如遇到 ssh 连接总自己断开,还可以继续添加添加配置:
ClientAliveInterval 30
ClientAliveCountMax 6
3. SSH 免密登录
Windows 用户在 /.ssh 目录生成公钥和私钥:
再在 vps 上的生成用户的公钥和私钥:
创建 authorized_keys 文件,把 Win 上的公钥复制进 authorized_keys:
给 authorized_keys 文件设置权限:
重启 ssh:
最后,在本地测试配置是否成功:
再在 SSH 工具里配置一下登录凭证,就可以免密登录了。
4. 限制 root 用户直接 ssh 登录或者密码登录
修改配置文件:
加入内容(限制 root 用户直接 ssh 登录,换言之,后面你得用新用户登录):
PermitRootLogin no
如果只是想限制 root 用户密码登录,只能用密钥登录,则需要修改配置文件内容为:
PermitRootLogin without-password
使修改生效:
修改文件权限,把 .ssh 目录设为 700:
5. 启用防火墙
检查防火墙的状态:
所有可用的应用程序配置:
查找指定配置文件包含的防火墙规则:
启用防火墙之前,先允许 ssh 应用的默认端口:
如果 ssh 监听其他端口,就打开那个端口:
还可以指定协议:
启用防火墙(启用之前一定要保证,SSH 的端口已经开了,不然登出之后就登不进来了!)
删除防火墙规则:
关闭防火墙:
重置防火墙设置并停止:
· · ·
四、基本配置
1. 设置时区
先看下系统的时区:
再按需修改,下面东八区的代号:
2. 修改登录欢迎语(可选项)
Ubuntu 20.04 登录总提示 New release '22.04.3 LTS' available,如果不想升级,可以关掉登录后的动态消息。
然后注释掉下面这两行:
session optional pam_motd.so motd=/run/motd.dynamicsession optional pam_motd.so noupdate
Ubuntu 22.04 每次登录都弹个很长的欢迎语,里面还有广告,难受。
好消息是,动态消息也可以像上面 Ubuntu 20.04 那样彻底禁止掉。
坏消息是,其他夹在 apt 命令中的广告就不那么好弄了。
不想完全关闭动态消息的话,也有些能做的事,比如欢迎语里面的 K8S 推广内容倒是可以手动关闭。
把文件里的 ENABLED=1 改成 ENABLED=0 就行。
3. 装面板(可选项)
如果手上的机器多,或者对命令行终端不感冒,也可以考虑装个面板,比如宝塔之类的。
面板安装和使用,又可以写一篇长文了,有需要的手动搜一下吧。
· · ·
五、科学配置(可选项)
1. BBR 加速
如果系统不支持 BBR2 或者 BBR Plus,配置 BBR 加速就行了。
验证是否成功:
如果系统支持 BBR2 或者 BBR Plus 的话,可以用一键脚本装内核,开启 BBR2,至于安全性,那就不清楚了。
2. WARP
WARP 是 Cloudflare 提供的网络流量安全及加速服务,它基于 WireGuard,能够帮你通过连接到 Cloudflare 的边缘节点,实现隐私保护及链路优化。
3. WireGuard
如果要用 WARP,那肯定要装 WireGuard。
WARP 的安装,又可以写一篇博文了,有需要的手动搜一下吧。
六、推荐软件(可选项)
1. Docker 安装
现在干点啥都喜欢上 Docker,服务基本都扔 Docker 里面了,有需要的建议先安上,挺省心的。
看看安装是否成功:
补充一下,这个脚本是官方的,会自动安装 Docker Compose 组件,调用命令是 docker compose。
如果看到别人用的命令是 docker-compose,那你替换成 docker compose 就好,不必再装一个 docker-compose。
2. Nginx 安装
把 Nginx 放 Docker 当然也可以,但是对于这种入口级别的中间件,个人还是习惯用原生的。
安装非常的简单:
看看成功没有:
启动 Nginx:
测一下:在浏览器通过 ip 加 80 端口访问,是否是 Nginx 默认欢迎页。
配置的话,一般直接去 /etc/nginx/conf.d 添加个文件,配一下就好了。
有静态网站,可以直接扔 /var/www/ 里面,也很方便。
Nginx 的维护,基本靠系统控制命令就能实现:
查看服务状态:
如果只修改了配置,Nginx 可以在不中断服务的情况下热加载,这个很好用:
开启自启,让系统启动时引导 Nginx 启动:
反悔了,不让系统启动时引导 Nginx 启动:
停用 nginx:
七、结尾
最后,终于来到最关键的部分了。其实上面这些整备的过程,一个脚本就可以搞定。可以说是一次编写,多次运行,以后拿到新 VPS,直接复制过去就能跑。
整备的脚本,发个出来,给大家做个参考吧:
1) 软件更新
如果不想一直蹲那儿按确认,可以强制自动确认(风险还是有的,自己权衡吧):
2) 创建和运行脚本
把脚本复制进去(参考脚本在后面,往下翻):
给执行权限:
运行脚本:
脚本 ready.sh 的参考内容如下:
跑完脚本验证一下配置,比如:新用户登录,root 用户无密码登录等,没问题就可以开始装应用干活了。
七、相关
补充说明
如果是境内 VPS,可能需要镜像网站才能访问某些服务,有些额外的坑。
- 作者:Along
- 链接:https://ukuk358.xyz//article/tj
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。